האם יש להיערך באופן מיוחד לאבטחת הרשת בעידן דור המילניום?

זהו לא סוד שדור ה-Y אוהב להשתמש ולשתף את חוויותיו ברשתות החברתיות ● אך מה קורה כאשר האהבה למדיה החברתית מתנגשת עם הצורך המהותי לשמירה על אבטחת הרשת במקום העבודה שלהם?

11/02/2018 15:00
תמיר שטיינברג, מנהל צוות ההנדסה בפורטינט ישראל. צילום: יח"צ

אחת מהמשימות הקשות ביותר בתחום ניהול מערך מחשוב היא שמירה על האבטחה של הרשת הארגונית. משימה זו הופכת למאתגרת אף יותר עם השתלבותו של דור המילניום בשוק העבודה, אשר מתחיל להוות רוב מכריע במקומות עבודה מסביב לעולם. Pew Research Center צופה כי עד שנת 2020 קבוצה דמוגרפית זו תהווה מחצית מכוח העבודה הגלובלי.

המונח "דור ה-Y" מעלה במוחנו קונוטציות רבות, כמו: הם אוהבים לשתף ברשתות חברתיות, הם לא סובלים חוויית משתמש גרועה, הם רוצים גמישות בעבודה והם עוזבים במהירות אם הציפיות שלהם לא מתגשמות.

מדובר במאפיינים אשר יגדירו את תרבות העבודה בעתיד ויש להתייחס אליהם כאשר מתכננים ומיישמים את מדיניות אבטחת הרשת של ארגונים, כאשר שלושת השיקולים המרכזיים שיש לקחת בחשבון הם:

מדיה חברתית

ארגונים רבים מתחבטים בשאלה האם למנוע מן העובדים "לבלות" בזמן העבודה ברשתות החברתיות בעקבות השימוש ההולך וגובר במדיה החברתית במקום העבודה.

המדיה החברתית מהווה פוטנציאל עבור תוכנות זדוניות והתקפות שפועלות על בסיס הנדסה חברתית – ניצול חולשות של בני האדם לשתף מידע ולהפר כללי מדיניות אבטחה.

קל מאוד להחרים או להגביל אתרים של מדיה חברתית ברמת הרשת. סנני URL בתוכנות סינון תעבורת רשת יכולים לחסום או לנטר URL ספציפיים. המאפיין של סינון לפי קטגוריה אף יכול לחסום קבוצות שלמות של אתרי אינטרנט. אך זה לא אומר שמנהלי מערכות המידע מוכרחים להתחיל לחסום רשתות חברתיות במקום העבודה.

גישה טובה יותר היא להתבונן מחדש באופן שבו אבטחת הרשת נאכפת באופן הוליסטי במקום העבודה. הגדרת מדיניות ברורה לשימוש ברשתות החברתיות וביצוע הדרכות עובדים היא התחלה טובה. למשל, ניתן להזכיר לצוות המכירות את הסיכונים הן בפן העסקי והן בפן האבטחה כאשר הם משתפים את מיקומם כשנמצאים באתרים של לקוחות דרך ערוצים חברתיים כמו פייסבוק (Facebook).

אך הדרך הטובה ביותר לוודא כי הארגון שלכם מאובטח, היא לדאוג לתשתית אבטחה רחבה בעלת שכבות רבות. מדובר בהימור בטוח יותר מאשר להסתמך על העובדים שלעולם לא ייעשו טעות כאשר משתמשים ברשתות החברתיות שלהם.

הכירו את שכבות האבטחה

אבטחה בשכבות, המשלבת בין בקרי אבטחה שונים על מנת להגן על נתונים, מכשירים ואנשים, מאומצת כיום בצורה נרחבת. גישה זאת מבטיחה כי במידה של התקפה המתרחשת במספר מקורות שונים – ברשת, באפליקציה, במכשירים או ברמת המשתמש – ניתן יהיה לזהות ולעצור אותה לפני התפשטותה. גישה זו יכולה לשמש גם כאמצעי אבטחה יעיל כנגד מגוון רחב של איומים אחרים.

עם שינוי ההתנהגויות במקום העבודה כתוצאה מכניסתם של בני דור ה-Y, מנהלי אבטחת המידע צריכים לחשוב כיצד הם מגדירים כל שכבה של הגנה. ראשית, יש לאבטח את שכבת המכשירים על ידי התקנה משולבת של חומות אש, תוכנות נגד נוזקות, פתרונות MDM ועדכוני תוכנה סדירים. כמו כן, תרבות ה-BYOD מסכנת ארגונים, היות וניתן לפרוץ למכשירים הניידים של העובדים במידה והם משתמשים בסיסמאות חלשות. הכנסת פרוטוקולים וחינוך לשימוש בסיסמאות חזקות צריכים להיות בראש סדר העדיפויות.

בנוסף, יש צורך בזיהוי של סוגי המכשירים, היות ומכשירים בעלי אבטחה חלשה יותר, כגון טלפונים ניידים, ניתנים להגבלה בחלקים מסוימים של הרשת. יש לאבטח גם את אופן השימוש ברשת על ידי מניעת גישה של משתמשים לאתרים שאינם בטוחים. באופן דומה, יש לחזק את ההגנות של שכבת המשתמש כדי לנטרל את הסיכונים ההולכים וגדלים של האיומים הפנימיים. לעתים קרובות, מדובר בשכבה הקשה ביותר לטיפול עקב הצורך לאזן בין אבטחה ונוחות. ניתן גם להשתמש במגוון שיטות אימות על מנת לזהות משתמשי רשת ולאפשר רמות שונות של גישה.

התמודדות עם טכנולוגית Shadow IT

Shadow IT הוא מונח המתאר שימוש באפליקציות ושירותים, לרוב מבוססי ענן, אשר אינם מורשים על ידי הארגון. טבעם הבלתי מבוקר של טכנולוגיות אלו מהווה אתגר ואיום אבטחה. למשל, האפליקציות החברתיות הרבות לשיתוף פעולה שבני דור ה-Y אוהבים להשתמש בהן, יכולות להעביר מידע רגיש של החברה למיקומים שאינם מאובטחים.

הדרישה להפסקת השימוש במכשירים ובאפליקציות לא מורשים על ידי העובדים כנראה לא תפסיק את הגידול בשימוש שלהם בתוך הארגון. עם שפע הטלפונים החכמים הקיים כיום, העובדים משתמשים ברשתות החברתיות שלהם ובענן הפרטי שלהם בין אם המדיניות של הארגון מתירה זאת ובין אם לאו. הדבר היעיל ביותר שניתן לעשות, הוא לחנך את המשתמשים – ובה בעת להטמיע טכנולוגיה – על מנת להתמודד עם העניין.

Shadow IT מתרחש כאשר צוות העובדים אינו מרוצה מהפתרונות המסופקים על ידי הארגון. בעוד שמנהלי אבטחת מידע לא יכולים למנוע מהעובדים לחפש אפליקציות שיתופיות אלטרנטיביות, הם יכולים לשמור על הסדר על ידי הקשבה לצרכים של העובדים.

הכותב הינו ראש צוות ההנדסה בפורטינט (Fortinet) ישראל.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים